互聯(lián)網(wǎng)技術(shù)基于HIP的地址更新機制

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報名時間

下面介紹基于HIP的地址更新機制。
IKE-H提供了一種可以在主機（或者安全網(wǎng)關(guān)）具有移動性、多家鄉(xiāng)功能情況下維持原有IPSecSA不變來保護數(shù)據(jù)功能的方法一IKE-H。并在原有HIP協(xié)議引入H1主機標(biāo)識符解決終端識別問題的基礎(chǔ)上，設(shè)計了一種髙效、靈活、可靠的改進IKEv2密鑰交換協(xié)議--IKE-H,來滿足Mobike工作組的要求。IKE-H可使通信節(jié)點對等體在地址改變時保證交換發(fā)起者和響應(yīng)者之間端到端通信的安全性：為IP數(shù)據(jù)報提供機密性、數(shù)據(jù)完整性、接入控制、身份鑒別和數(shù)據(jù)源認(rèn)證，防止出現(xiàn)DoS(拒絕服務(wù)）或者MitM(中間人）等攻擊此外，擴展原先只有.端到端的HIP通倍，使之可以實現(xiàn)更多的如同安全網(wǎng)關(guān)保護的內(nèi)部子網(wǎng)主機通信等應(yīng)用。IKE-H還支持一個同時有多個正在通信的IPv4/IPv6連接的安全網(wǎng)關(guān)在IPv4和IPv6地址之間切換即支持站點多家鄉(xiāng)，而不用中斷和重新建立高層協(xié)議連接。
IKE-H方法主要是在原有HIP協(xié)議基本框架的基礎(chǔ)上對HIP協(xié)議的密鑰交換協(xié)議--基本交換作出了必要的改進，并為了實現(xiàn)主機（包括安全網(wǎng)關(guān)在內(nèi)）的移動性和多家鄉(xiāng)功能擴展定義了新的通告載荷報文類型以及HIP一NOTIFY_REA數(shù)據(jù)格式.考慮了不同環(huán)境下的具體使用。由于采用的是基于IKE的密鑰交換協(xié)議，所以可以使適用范圍由終端主機擴展到包括終端主機在內(nèi)安全網(wǎng)關(guān)等不同的場所。
該方案提議的IKE-H密鑰交換方法可在HIP主機（或者安全網(wǎng)關(guān)）之間建立一對IPSec安全聯(lián)盟。這些SA不是綁定到IP地址，而是綁定到用來建立它們的HI(公共密鑰）上當(dāng)然，主機（或者安全網(wǎng)關(guān)）至少箝要知道它們對端的一個可達(dá)的IP地址。最初?這些IP地址就是HIP交換中使用的IP地址既然安全聯(lián)盟不是綁定到IP地址的，主機就能夠從任何地址接收受（由HIP建立的）ESP安全聯(lián)盟保護的數(shù)據(jù)鉭。因此，主機可以改變自己的IP地址并且繼續(xù)向?qū)Χ税l(fā)送數(shù)據(jù)包。
IKEH的交換過程都是由一對報文組成：請求和應(yīng)答，這對報文稱為一組“交換”在一定的時間間隔內(nèi)如果沒有收到應(yīng)答，請求方需要重傳請求（或放棄連接)。第一組交換完成IKE_SA_INIT,協(xié)商包括加密算法、Nonces、DH交換在內(nèi)的值。第二組交換完成IKE_AUTH，認(rèn)證前面的消息、交換身份并建立笫一個IPSec安全聯(lián)盟《接下來的交換是CREATE_IPSEC_SA交換（用來建立以后的IPSec安全聯(lián)盟，它不是一定要進行）或者INFORMATIONAL交換（用來刪除SA報告錯誤條件并可以做其他管理如檢查生存期等工作)。
通常情況下,建立IKE安全聯(lián)盟和第一個IPSec安全聯(lián)盟只需要一次IKE_SA_INIT交換和一次DCE_AUTH交換（一共4條報文)，我們稱之為初始交換，如圖5-7所示。但在特殊情況中，可能霈要不止一次的這兩種交換。但不論是哪種情況，幾種交換的順序都是：首先是IKE_SAJNIT交換，它結(jié)束之后是IKE_AUTH交換，接下來使用任意數(shù)跫的CREATE_IPSEC_SA和-106-INFORMATIONAL交換，它們的順序可以任意。

返回目錄： 通信工程師考試移動互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級通信專業(yè)實務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級通信專業(yè)實務(wù)傳輸與接入教程匯總

通信專業(yè)實務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實務(wù)考試交換技術(shù)教程匯總